🔒 微軟釋出重大資安更新:修補 130 項漏洞!

Share on social media

🔒 微軟釋出重大資安更新:修補 130 項漏洞!

2025 年 7 月 9 日,微軟發布本月的 Patch Tuesday 更新,一口氣修補 130 項資安漏洞,其中包含 10 項「重大(Critical)」漏洞,涵蓋 SQL Server、Windows、Office (Word, PowerPoint, Excel)  等多個關鍵產品。

從 PCI DSS 合規角度,需要特別注意其中一項漏洞(CVE-2025-49719,CVSS 評分 7.5)出現在 Microsoft SQL Server 中,屬於資訊洩漏風險,可能允許未授權的攻擊者讀取未初始化的記憶體,洩漏如密碼或加密金鑰等敏感資料。

Rapid7 的首席軟體工程師 Adam Barnett 表示,雖然攻擊者可能無法立即獲得有價值的資訊,但透過技巧性操作,仍有可能取得加密金鑰等關鍵資料。

Action1 總裁 Mike Walters 則指出,此漏洞可能源於 SQL Server 記憶體管理中的輸入驗證不足,導致可讀取未初始化記憶體,進而洩漏如帳號密碼或連線字串等敏感資訊,影響範圍包括 SQL Server 引擎與使用 OLE DB 驅動的應用程式。

⚠️ 資安專家強烈呼籲:

系統管理員與 IT 團隊應立即部署本次更新,尤其是使用 SQL Server 的企業,以防止潛在大規模攻擊。

Source:

https://thehackernews.com/2025/07/microsoft-patches-130-vulnerabilities.html

https://krebsonsecurity.com/2025/07/microsoft-patch-tuesday-july-2025-edition/

#PCI #資安更新 #漏洞修補  #SQLServer  #PatchTuesday #資安警示 #資訊安全 #CVSS

 

【安律資安小教室】

📌 什麼是 CVSS?

CVSS 是一套由 FIRST 組織(Forum of Incident Response and Security Teams) 推動的評分標準,制定目的是提供一致、量化的方法來衡量資訊系統中弱點的嚴重性。

CVSS 的評分範圍從 0.0 到 10.0,分數越高代表弱點越嚴重。

© 2020 Copyright - 安律信息技术有限公司 Secure Vectors Information Technologies Inc.
微博
PCI DSS v4.0.1 合規培訓課程_上海